СКЗИ - це що? Засоби криптографічного захисту інформації
Термін "криптографія" походить від давньогрецьких слів «прихований» і «пишу». Словосполучення виражає основне призначення криптографії - це захист і збереження таємниці переданої інформації. Захист інформації може відбуватися різними способами. Наприклад, шляхом обмеження фізичного доступу до даних, приховування каналу передачі, створення фізичних труднощів підключення до ліній зв`язку і т. Д.
Мета криптографії
На відміну від традиційних способів тайнопису, криптографія передбачає повну доступність каналу передачі для зловмисників і забезпечує конфіденційність і автентичність інформації за допомогою алгоритмів шифрування, що роблять інформацію недоступною для стороннього прочитання. Сучасна система криптографічного захисту інформації (СКЗИ) - це програмно-апаратний комп`ютерний комплекс, що забезпечує захист інформації за такими основними параметрами.
- Конфіденційність - неможливість прочитання інформації особами, які не мають відповідних прав доступу. Головним компонентом забезпечення конфіденційності в СКЗИ є ключ (key), що представляє собою унікальну буквено-числову комбінацію для доступу користувача в певний блок СКЗИ.
- Цілісність - неможливість несанкціонованих змін, таких як редагування і видалення інформації. Для цього до вихідної інформації додається надмірність у вигляді перевірочної комбінації, що обчислюється за криптографічним алгоритмом і залежна від ключа. Таким чином, без знання ключа додавання або зміна інформації стає неможливим.
- Аутентифікація - підтвердження автентичності інформації та сторін, її відправляють та отримують. Передана каналами зв`язку інформація повинна бути однозначно аутентифицироваться за змістом, часу створення та передачі, джерела і одержувача. Слід пам`ятати, що джерелом загроз може бути не тільки зловмисник, але і сторони, що беруть участь в обміні інформацією при недостатньому взаємній довірі. Для запобігання подібних ситуації СКЗИ використовує систему міток часу для неможливості повторної або зворотного відсилання інформації та зміни порядку її проходження.
- Авторство - підтвердження і неможливість відмови від дій, скоєних користувачем інформації. Найпоширенішим способом підтвердження автентичності є електронний цифровий підпис (ЕЦП). Система ЕЦП складається з двох алгоритмів: для створення підпису і для її перевірки. При інтенсивній роботі з ЕКЦ рекомендується використання програмних засвідчувальних центрів для створення і управління підписами. Такі центри можуть бути реалізовані як повністю незалежне від внутрішньої структури засіб СКЗИ. Що це означає для організації? Це означає, що всі операції з електронними підписами обробляються незалежними сертифікованими організаціями та підробка авторства практично неможлива.
Алгоритми шифрування
На поточний момент серед СКЗИ переважають відкриті алгоритми шифрування з використанням симетричних і асиметричних ключів з довжиною, достатньою для забезпечення потрібної криптографічного складності. Найбільш поширені алгоритми:
- симетричні ключі - російський Р-28147.89, AES, DES, RC4;
- асиметричні ключі - RSA;
- з використанням хеш-функцій - Р-34.11.94, MD4 / 5/6, SHA-1/2.
Багато країн мають свої національні стандарти алгоритмів шифрування. У США використовується модифікований алгоритм AES з ключем довжиною 128-256 біт, а в РФ алгоритм електронних підписів Р-34.10.2001 і блоковий криптографічний алгоритм Р-28147.89 з 256-бітовим ключем. Деякі елементи національних криптографічних систем заборонені для експорту за межі країни, діяльність з розробки СКЗИ потребує ліцензування.
Системи апаратної криптозахисту
Апаратні СКЗИ - це фізичні пристрої, що містять в собі програмне забезпечення для шифрування, запису та передачі інформації. Апарати шифрации можуть бути виконані у вигляді персональних пристроїв, таких як USB-шифратори ruToken і флеш-диски IronKey, плат розширення для персональних комп`ютерів, спеціалізованих мережевих комутаторів і маршрутизаторів, на основі яких можлива побудова повністю захищених комп`ютерних мереж.
Апаратні СКЗИ швидко встановлюються і працюють з високою швидкістю. Недоліки - висока, в порівнянні з програмними та програмно-апаратними СКЗИ, вартість та обмежені можливості модернізації.
Також до апаратних можна віднести блоки СКЗИ, вбудовані в різні пристрої реєстрації та передачі даних, де потрібна шифрування та обмеження доступу до інформації. До таких пристроїв відносяться автомобільні тахометри, фіксують параметри автотранспорту, деякі типи медичного обладнання і т.д. Для повноцінної роботи таким систем потрібна окрема активація СКЗИ модуля фахівцями постачальника.
Системи програмної криптозахисту
Програмні СКЗИ - це спеціальний програмний комплекс для шифрування даних на носіях інформації (Жорсткі і флеш-диски, карти пам`яті, CD / DVD) і при передачі через Інтернет (електронні листи, файли у вкладеннях, захищені чати і т.д.). Програм існує досить багато, в т. Ч. Безкоштовних, наприклад, DiskCryptor. До програмних СКЗИ можна також віднести захищені віртуальні мережі обміну інформацією, що працюють «поверх Інтернет» (VPN), розширення Інтернет протоколу HTTP з підтримкою шифрування HTTPS і SSL - криптографічний протокол передачі інформації, що широко використовується в системах IP-телефонії та інтернет-додатках.
Програмні СКЗИ в основному використовуються в мережі Інтернет, на домашніх комп`ютерах і в інших сферах, де вимоги до функціональності і стійкості системи не дуже високі. Або як у випадку з Інтернетом, коли доводиться одночасно створювати безліч різноманітних захищених з`єднань.
Програмно-апаратна криптозащита
Поєднує в собі кращі якості апаратних і програмних систем СКЗИ. Це найнадійніший і функціональний спосіб створення захищених систем і мереж передачі даних. Підтримуються всі варіанти ідентифікації користувачів, як апаратні (USB-накопичувач або смарт-карта), так і «традиційні» - логін і пароль. Програмно-апаратні СКЗИ підтримують всі сучасні алгоритми шифрування, володіють великим набором функцій по створенню захищеного документообігу на основі ЕЦП, всіма необхідними державними сертифікатами. Установка СКЗИ проводиться кваліфікованим персоналом розробника.
Компанія «КРИПТО-ПРО»
Один з лідерів російського криптографічного ринку. Компанія розробляє весь спектр програм із захисту інформації з використанням ЕЦП на основі міжнародних і російських криптографічних алгоритмів.
Програми компанії використовуються в електронному документообігу комерційних і державних організацій, для здачі бухгалтерської та податкової звітності, у різних міських та бюджетних програмах і т. Д. Компанією видано більше 3 млн. Ліцензій для програми КріптоПро CSP і 700 ліцензій для засвідчувальних центрів. «Кріпто-ПРО» надає розробникам інтерфейси для вбудовування елементів криптографічного захисту в свої програмні продукти та надає весь спектр консалтингових послуг зі створення СКЗИ.
Криптопровайдер КріптоПро
При розробці СКЗИ КріптоПро CSP використовувалася вбудована в операційну систему Windows криптографічний архітектура Cryptographic Service Providers. Архітектура дозволяє підключати додаткові незалежні модулі, що реалізують необхідні алгоритми шифрування. За допомогою модулів, що працюють через функції CryptoAPI, криптографічний захист можуть здійснювати як програмні, так і апаратні СКЗИ.
Носії ключів
В якості особистих ключів можуть використовуватися різні апаратні засоби, такі як:
- смарт-карти і счітивателі;
- електронні замки та зчитувачі, що працюють з пристроями Touch Memory;
- різні USB-ключі і змінні USB-накопітелі;
- файли системного реєстру Windows, Solaris, Linux.
Функції криптопровайдера
СКЗИ КріптоПро CSP повністю сертифікована ФАПСИ і може використовуватися для:
1. Забезпечення юридичної сили і авторизації електронних документів за допомогою створення та перевірки ЕЦП відповідно до російських стандартів шифрування.
2. Повної конфіденційності, автентичності та цілісності даних за допомогою шифрування і імітаційної захисту згідно російським стандартам шифрування і протоколу TLS.
3. Перевірки та контролю цілісності програмного коду для запобігання несанкціонованому зміни і доступу.
4. Створення регламенту захисту системи.